Azure 기밀 VM 정보

Azure 기밀 컴퓨팅은 보안 및 기밀성 요구 사항이 높은 테넌트용 기밀 VM을 제공합니다. 이러한 VM은 고객의 보안 요구에 부응하기 위해 강력한 하드웨어 기반의 경계를 제공합니다. VM의 상태를 읽거나 수정하지 않게 보호하는 플랫폼을 통해, 코드 변경 없는 마이그레이션에 기밀 VM을 사용할 수 있습니다.

Important

보호 수준은 구성 및 기본 설정에 따라 달라집니다. 예를 들어 Microsoft는 추가 비용 없이 편의를 위해 암호화 키를 소유하거나 관리할 수 있습니다.

이점

기밀 VM에는 다음과 같은 혜택이 있습니다.

  • 가상 머신, 하이퍼바이저 및 호스트 관리 코드 간의 강력한 하드웨어 기반 격리
  • 배포 전에 호스트의 호환성을 보장하기 위해 사용자 지정 가능한 증명 정책
  • 첫 번째 부팅 전에 클라우드 기반 기밀 OS 디스크 암호화.
  • 플랫폼 또는 고객(선택 사항)이 소유하고 관리하는 VM 암호화 키
  • 플랫폼의 성공적인 증명과 VM의 암호화 키 간의 암호화 바인딩으로 안전한 키 릴리스
  • 가상 머신의 키와 비밀을 증명 및 보호하기 위한 전용 가상 TPM(Trusted Platform Module) 인스턴스
  • Azure VM용 신뢰할 수 있는 시작과 유사한 보안 부팅 기능

기밀 OS 디스크 암호화

Azure 기밀 VM은 새롭고 향상된 디스크 암호화 체계를 제공합니다. 이 체계는 디스크의 모든 중요한 파티션을 보호합니다. 또한 디스크 암호화 키를 가상 머신의 TPM에 바인딩하고 보호된 디스크 콘텐츠를 VM에서만 액세스할 수 있도록 합니다. 이러한 암호화 키는 하이퍼바이저 및 호스트 운영 체제를 포함하여 Azure 구성 요소를 안전하게 무시할 수 있습니다. 공격 가능성을 최소화하기 위해 전용 및 별도의 클라우드 서비스는 VM을 처음 만들 때도 디스크를 암호화합니다.

컴퓨팅 플랫폼에 VM 격리 에 대한 중요한 설정이 누락된 경우 Azure Attestation 은 부팅하는 동안 플랫폼의 상태를 증명하지 않고 대신 VM을 시작하지 못하게 합니다. 예를 들어 SEV-SNP를 사용하도록 설정하지 않은 경우 이 시나리오가 발생합니다.

이 프로세스는 초기 VM 생성 시간을 연장할 수 있으므로 기밀 OS 디스크 암호화는 선택 사항입니다. 다음 중에서 선택할 수 있습니다.

  • PMK(플랫폼 관리형 키) 또는 CMK(고객 관리형 키)를 사용하는 VM 배포 전 기밀 OS 디스크 암호화를 사용하는 기밀 VM입니다.
  • VM을 배포하기 전에 기밀 OS 디스크 암호화가 없는 기밀 VM입니다.

추가 무결성 및 보호를 위해 기밀 OS 디스크 암호화가 선택된 경우 기밀 VM은 기본적으로 보안 부팅을 제공합니다.

보안 부팅에서는 신뢰할 수 있는 게시자가 OS 부팅 구성 요소(부팅 로더, 커널, 커널 드라이버 포함)에 서명해야 합니다. 호환되는 모든 기밀 VM 이미지는 보안 부팅을 지원합니다.

기밀 임시 디스크 암호화

기밀 디스크 암호화 보호를 임시 디스크로 확장할 수도 있습니다. 디스크가 CVM에 연결된 후 VM 내 대칭 키 암호화 기술을 활용하여 이를 사용하도록 설정합니다.

임시 디스크는 애플리케이션 및 프로세스를 위한 빠른 로컬 및 단기 스토리지를 제공합니다. 페이지 파일, 로그 파일, 캐시된 데이터 및 기타 형식의 임시 데이터와 같은 데이터만 저장하기 위한 것입니다. CVM의 임시 디스크에는 중요한 데이터를 포함할 수 있는 스왑 파일이라고도 하는 페이지 파일이 포함되어 있습니다. 암호화가 없으면 호스트에서 이러한 디스크의 데이터에 액세스할 수 있습니다. 이 기능을 사용하도록 설정하면 임시 디스크의 데이터가 더 이상 호스트에 노출되지 않습니다.

이 기능은 옵트인 프로세스를 통해 사용하도록 설정할 수 있습니다. 자세히 알아보려면 설명서를 읽어 보세요.

암호화 가격 책정 차이

Azure 기밀 VM은 OS 디스크와 암호화된 작은 VMGS(가상 머신 게스트 상태) 디스크(몇 메가바이트)를 모두 사용합니다. VMGS 디스크는 VM 구성 요소의 보안 상태를 포함합니다. 일부 구성 요소는 vTPM 및 UEFI 부팅 로더를 포함합니다. 소형 VMGS 디스크에서 월별 스토리지 비용이 발생할 수 있습니다.

2022년 7월부터 암호화된 OS 디스크는 더 높은 비용이 발생합니다. 자세한 정보는 관리 디스크 가격 책정을 참조하세요.

증명 및 TPM

Azure 기밀 VM은 플랫폼의 중요한 구성 요소 및 보안 설정을 성공적으로 증명한 후에만 부팅됩니다. 증명 보고서에는 다음이 포함됩니다.

  • 서명된 증명 보고서
  • 플랫폼 부팅 설정
  • 플랫폼 펌웨어 측정
  • OS 측정

기밀 VM 내에서 증명 요청을 초기화하여 기밀 VM이 AMD SEV-SNP 또는 Intel TDX 지원 프로세서를 사용하여 하드웨어 인스턴스를 실행하고 있는지 확인할 수 있습니다. 자세한 내용은 Azure 기밀 VM 게스트 증명을 참조하세요.

Azure 기밀 VM은 Azure VM용 vTPM(가상 TPM)을 제공합니다. vTPM은 가상화된 버전의 하드웨어 TPM이며 TPM 2.0 사양을 준수합니다. vTPM을 키 및 측정을 위한 전용 보안 자격 증명 모음으로 사용할 수 있습니다. 기밀 VM에는 VM의 범위 밖에 있는 보안 환경에서 실행되는 자체 전용 vTPM 인스턴스가 있습니다.

제한 사항

기밀 VM에는 다음과 같은 제한 사항이 있습니다. 자주 묻는 질문은 기밀 VM에 대한 FAQ를 참조 하세요.

크기 지원

기밀 VM은 다음 VM 크기를 지원합니다.

  • 로컬 디스크가 없는 범용: DCasv5 시리즈, DCesv5 시리즈
  • 로컬 디스크를 사용하는 범용: DCadsv5 시리즈, DCedsv5 시리즈
  • 로컬 디스크 없이 최적화된 메모리: ECasv5 시리즈, ECesv5 시리즈
  • 로컬 디스크로 최적화된 메모리: ECadsv5 시리즈, ECedsv5 시리즈

자세한 정보는 AMD 배포 옵션을 참조하세요.

OS 지원

기밀 VM은 다음 OS 옵션을 지원합니다.

Linux Windows 클라이언트 Windows Server
Ubuntu Windows 11 Windows Server Datacenter
20.04 LTS (AMD SEV-SNP만 해당) 22H2 Pro 2019 Server Core
22.04 LTS 22H2 Pro ZH-CN
22H2 Pro N 2022 Server Core
RHEL 22H2 Enterprise 2022 Azure Edition
9.3 (AMD SEV-SNP만 해당) 22H2 Enterprise N 2022 Azure Edition Core
9.3 미리 보기(Intel TDX만 해당) 22H2 Enterprise 다중 세션
SUSE
15 SP5 Tech Preview(Intel TDX, AMD SEV-SNP)
SAP Tech Preview용 SP5 15개(Intel TDX, AMD SEV-SNP)

지역

기밀 VM은 특정 VM 지역에서 사용할 수 있는 특수 하드웨어에서 실행됩니다.

가격 책정

가격 책정은 기밀 VM 크기에 따라 달라집니다. 자세한 내용은 가격 계산기를 참조하세요.

기능 지원

기밀 VM은 다음을 지원하지 않습니다.

  • Azure Batch
  • Azure Backup
  • Azure Site Recovery
  • Azure Dedicated Host
  • 기밀 OS 디스크 암호화를 사용하도록 설정된 Microsoft Azure Virtual Machine Scale Sets
  • 제한된 Azure Compute Gallery 지원
  • 공유 디스크
  • Ultra Disk
  • 가속화된 네트워킹
  • 실시간 마이그레이션
  • 부팅 진단 아래의 스크린샷

다음 단계

자세한 내용은 기밀 VM FAQ를 참조하세요.